中国の脅威アクターである**Volt Typhoon**などと以前から関連付けられていたマルウェアネットワーク、**JDYボットネット**が、その標的範囲と偵察活動を大幅に拡大しています。 活動を監視している**Lumen**傘下の**Black Lotus Labs**の研究者によると、JDYは米国に強い焦点を当てており、侵害されたデバイスの多くが米国に所在し、軍および関連ネットワークを重点的に標的にしています。 同セキュリティ企業は、JDYが2024年1月の約650台のアクティブボットから、現在では1,500台以上の侵害されたSOHOおよびIoTデバイスにまで成長したと指摘しています。 これらの数字は少なく見えるかもしれませんが、JDYは大量の火力を必要とするエクスプロイテーションフレームワークやDDoSボットネットではなく、オペレーターが新たに開示された脆弱性を持つ標的を特定するのに役立つ、分散型のスキャンおよびフィンガープリンティングネットワークであることを理解することが重要です。 「この活動の分析は、公開された脆弱性の開示直後に脆弱なインフラストラクチャを特定することに明確な焦点を当てていることを示しており、偵察の成果が中国を拠点とする高度な持続的脅威（APT）アクターによって迅速に運用されていることを示唆しています」と、[Black Lotus Labsのレポート](https://www.lumen.com/blog/en-us/expanded-jdy-iot-and-soho-botnet-enables-rapid-vulnerability-exploitation)は述べています。 「この標的を絞った焦点は、さまざまなセクターで観察されており、米国軍および関連組織が最も顕著です。」  **CISA**は以前から、**Volt Typhoon**のオペレーターが保護されていないSOHOルーターに及ぼすリスクについて警告しており、ネットワークデバイスベンダーに対し、設計および開発段階でSOHOルーターのWeb管理インターフェイス（WMI）の脆弱性を排除するよう求めていました。 **JDYボットネット**は、サービスディスカバリ、サービスバナーグラビング、TLS証明書収集、プロトコルフィンガープリンティング、および脆弱性中心の偵察を実行するように設計されています。 侵害されたデバイスには、**Cisco**、**Araknis**、**Mimosa Networks**、**Ubiquiti**、**DrayTek**、**Hikvision**、**Linksys**などのMIPS、MIPS64、MIPSEL、MIPSEL64アーキテクチャのデバイスが含まれています。 脅威アクターは、新たに開示された脆弱性を迅速に標的にしており、Lumenの研究者は、**Fortinet**がFortiClient EMSの脆弱性を公に開示した直後に、JDYが**CVE-2026-35616**を標的にスキャンしていることを観察しました。  オペレーターは、コマンドアンドコントロール（C2）インフラストラクチャとしても機能する隠されたTorサービスを通じてボットネットを制御しています。オープンソースの逆シェルおよびホスト管理フレームワークである**Platypus**も一部のケースで使用されています。  マルウェアは中央の「Dispatch Service」に登録し、スキャン割り当てを受信し、それを実行し、結果を圧縮してC2に送信します。 スキャンモジュールは以下をサポートしています： * TCPスキャン * SSL/TLSスキャン * UDPスキャン * ICMPプロービング * バナー収集 * TLS証明書ハーベスティング * ダウンロード可能なルールセットを使用したサービスフィンガープリンティング ボットネットクライアントは、オペレーターが明示的に停止を命じるまで、同じサイクルを繰り返します。 TCPスキャン機能は技術的に最も興味深いものの1つであると研究者は述べており、JDYが十分な権限を持っている場合、より高速でステルス性の高いRAW SYNスキャンを実行すると説明しています。 「マルウェアがRAWソケットを開くことができる場合、これは一般的にrootまたは管理者権限を必要としますが、カスタム作成されたTCPパケットを使用して高速SYNスキャンを開始します」とレポートは説明しています。 「これらのカスタムパケットは、ポート19000の固定送信元ポートを使用し、宛先ポートを1つずつインクリメントし、数千ものスキャンターゲットをバッチ処理します。」  **JDYボットネット**の活動が増加するにつれて、組織はルーター、ファイアウォール、IoTデバイスが最新のセキュリティアップデートとパッチを実行していることを確認し、それらが偵察ネットワークに組み込まれるのを防ぐべきです。 防御者はまた、不要なインターネット公開された管理インターフェイスを無効にし、リモート管理アクセスを制限し、デフォルトの認証情報を置き換え、エッジデバイスから発信される異常なアウトバウンドスキャンアクティビティを監視することで、外部攻撃対象領域を削減する必要があります。